デスノート由来のランサムウェア「リューク」による被害 仮想通貨ビットコインで約700BTC、ロシアのハッカー集団が関与か=レポート

ハッカーに705.08ビットコイン(BTC)(約250万ドル=約2億7000万円)の利益をもたらしたと推定されるランサムウェア攻撃。当初は北朝鮮のハッカー集団に容疑の目が向けられていたが、真犯人はロシアのサイバー犯罪集団の可能性が浮上している。Next Webの仮想通貨ニュース部門Hard Forkが14日にレポートしている。

Hard Forkは、サイバーセキュリティ調査チームの「マカフィー ラボ」と「クラウドストライク」がランサムウェアの一種「Ryuk(リューク)」の開発・拡散に使用された戦略の分析から得られた証拠を引用し、リュークの真の首謀者と動機はこれまで誤って報じられてきた可能性が高いと結論付けた

マカフィーが言及する通り、リュークは、標的としたユーザーのドライブを暗号化した後に身代金を要求する「ノート」を残すとされている。漫画『デスノート』のキャラクター「死神リューク」が人間を殺すことができる『デスノート』を退屈しのぎに人間界に落とした話にちなんで命名されたという。リュークは、米国の主要メディアグループであるトリビューン・パブリッシングをクリスマスに標的にしたことで、大きな注目を集めていた

リュークはまず、被害者数万人に送信されたスパムメールに潜まされていたTrickBotと呼ばれるバンキング型トロイの木馬を介して拡散。その後、攻撃者らは標的を一部の大企業に絞っていたことが報じられている。

北朝鮮の関与が誤って疑われた原因は、北朝鮮の国家ぐるみのハッカーが、台湾にある遠東国際商業銀行(FEIB)のSWIFTネットワークへの不正アクセスから目をそらさせるための策略としてかつて使用していたとされるランサムウェア「Hermes」のコードとリュークのコードが類似していたためと推測。

ただし、マカフィーやクラウドストライクなどが主張するように、リュークは「Hermes 2.1.」の修正版である可能性がある。「Hermes 2.1.」 はアンダーグラウンドフォーラムで一般的なマルウェアキットとして販売され、購入可能な状態だった。そのためロシアを拠点とするサイバー攻撃集団GRIM SPIDERが関与した可能性がある程度高いと考えられている。 というのも、1つにはHermesの初期の謳い文句では、Hermesはロシア語やウクライナ語、ベラルーシ語のシステムでは動作しないと言われていたからだ。

昨年8月時点で、リュークによるサイバー攻撃により、リューク設計者は705BTCの利益を得たと見積もられている。リュークの分析結果をまとめたクラウドストライクの調査は、37のBTCアドレスで52件超のトランザクションがあり、GRIM SPIDERが705.80BTC(250万ドル)を得ていたと報告。さらに、同調査は以下のように付け加えた。

「最近の米ドルに対するBTC価格の下落により、GRIM SPIDERはさらなる利益を得ている可能性がある」

クラウドストライクはさらに、GRIM SPIDERはロシアを拠点とするバンキング型マルウェアTrickBotの運営者とされる、大規模なサイバー攻撃グループWIZARD SPIDERの一部を形成するサイバー犯罪者らの下部組織だと主張する。

昨年10月サイバー犯罪調査会社Group-IBが発表したレポートでは、北朝鮮が関与するハッカー集団「ラザラス」が17~18年にオンライン取引所から盗まれた仮想通貨計8億8200万ドルのうち、5億7100万ドルに関与したことを指摘している

ランサムウェアとは、悪意のあるソフトウェア(マルウェア)の一種。ランサムウェアに感染したPCは、ある動作をブロックされたり、ファイルを開けなくなるなどの制限がかけられ、これらを解除するために、被害者は金銭を要求される。PCやPC内のデータを人質に、身代金(ランサム)を要求するマルウェアから、ランサムウェアと呼ばれる。

仮想通貨用語集